EU AI Act für KMU: Was ab 2026 gilt
Der EU AI Act ist da und gilt stufenweise. Die gute Nachricht für KMU: Wenn Sie KI nur nutzen statt sie zu bauen, sind Ihre Pflichten überschaubar. Aber sie sind nicht null. Hier sind die Fristen, die wirklich zählen, inklusive der Verschiebungen durch den Digital Omnibus vom Juni 2026, und was Sie konkret tun sollten.
Veröffentlicht am 25. Juni 2026 · Aktualisiert am 12. Juli 2026 · Daniel Gläser

Was der EU AI Act ist
Der EU AI Act ist die Verordnung (EU) 2024/1689, das erste umfassende KI-Gesetz der EU. Sie wurde am 12. Juli 2024 veröffentlicht und ist am 1. August 2024 in Kraft getreten. Die Verordnung folgt einem risikobasierten Ansatz mit vier Stufen: unannehmbares (verbotenes) Risiko, hohes Risiko, begrenztes Risiko mit Transparenzpflichten und minimales Risiko.
In Kraft heißt noch nicht anwendbar
Am 1. August 2024 ist die Verordnung in Kraft getreten, ihre Pflichten greifen aber gestaffelt zu verschiedenen Zeitpunkten. Das wird oft verwechselt.
Die Zeitleiste: Was wann gilt
- 1. August 2024: Die Verordnung tritt in Kraft.
- 2. Februar 2025: Die verbotenen KI-Praktiken (Art. 5) und die Pflicht zur KI-Kompetenz (Art. 4) gelten.
- 2. August 2025: Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) und die Governance-Regeln gelten.
- 2. August 2026: Die Transparenzpflichten nach Art. 50 (Chatbots, KI-generierte Inhalte) und die übrigen allgemeinen Regeln gelten.
- 2. Dezember 2026: Die Kennzeichnungspflichten greifen auch für Systeme, die schon vor dem 2. August 2026 in Verkehr gebracht wurden.
- 2. Dezember 2027: Die Hochrisiko-Pflichten für eigenständige Systeme nach Anhang III gelten (per Digital Omnibus verschoben, ursprünglich 2. August 2026).
- 2. August 2028: Die Regeln für Hochrisiko-KI als Sicherheitskomponente regulierter Produkte (Anhang I) gelten (ursprünglich 2. August 2027).
Vorsicht bei veralteten Artikeln
Der Digital Omnibus hat die Hochrisiko-Fristen im Juni 2026 verschoben: Anhang III auf den 2. Dezember 2027, Anhang I auf den 2. August 2028. Viele Texte im Netz nennen noch die alten Daten. Unverändert bleiben: Art.-50-Transparenz ab dem 2. August 2026 und die GPAI-Pflichten, die bereits seit dem 2. August 2025 gelten.
Digital Omnibus: Was sich 2026 geändert hat
Die EU hat den AI Act entschärft, bevor seine strengsten Pflichten überhaupt griffen. Am 7. Mai 2026 einigten sich Rat und Parlament politisch auf das Vereinfachungspaket Digital Omnibus, am 16. Juni 2026 stimmte das Parlament zu, am 29. Juni 2026 hat der Rat final beschlossen. Der Kern: Die Hochrisiko-Pflichten kommen deutlich später, der Rest bleibt auf dem Zeitplan.
- Eigenständige Hochrisiko-Systeme nach Anhang III (z. B. bestimmte Anwendungen in Personalwesen oder Kreditvergabe): Pflichten gelten statt ab dem 2. August 2026 erst ab dem 2. Dezember 2027.
- KI als Sicherheitskomponente regulierter Produkte nach Anhang I: statt ab dem 2. August 2027 erst ab dem 2. August 2028.
- Nicht verschoben: die Transparenzpflichten nach Art. 50. Sie gelten wie geplant ab dem 2. August 2026; für Bestandssysteme greifen die Kennzeichnungspflichten ab dem 2. Dezember 2026.
Für reine KI-Nutzer ändert sich wenig
Verbote, KI-Kompetenzpflicht und die Chatbot- und Kennzeichnungsregeln bleiben unverändert. Wer KI nur einsetzt, gewinnt vor allem dann Zeit, wenn ein Hochrisiko-Anwendungsfall im Raum steht.
Was das für KMU bedeutet, die KI nur nutzen
Die meisten kleinen und mittleren Unternehmen sind Betreiber, nicht Anbieter. Sie setzen fertige KI-Werkzeuge ein, statt eigene KI-Systeme zu entwickeln und in Verkehr zu bringen. Das reduziert die Pflichten deutlich, befreit aber nicht von allem.
- KI-Kompetenz (Art. 4): Auch Betreiber müssen ein ausreichendes Maß an KI-Kompetenz beim eigenen Personal sicherstellen. Das gilt bereits seit dem 2. Februar 2025.
- Verbotene Praktiken (Art. 5): Bestimmte Einsatzformen sind generell untersagt, etwa manipulatives oder bestimmtes biometrisches Vorgehen.
- Transparenz (Art. 50): Wer Chatbots oder generative KI einsetzt, hat Kennzeichnungspflichten (siehe unten).
- Hochrisiko-Einsatz: Nutzen Sie ein KI-System in einem Hochrisiko-Bereich (z. B. bestimmte Anwendungen im Personalwesen nach Anhang III), kommen die Betreiberpflichten nach Art. 26 hinzu (nach dem Digital Omnibus anwendbar ab dem 2. Dezember 2027): zweckkonforme Nutzung, menschliche Aufsicht, Kontrolle der Eingabedaten, Aufbewahrung von Protokollen und Information betroffener Beschäftigter.
Wann Sie vom Nutzer zum Anbieter werden
Vorsicht: Nach Art. 25 können Sie zum Anbieter mit weitergehenden Pflichten werden, wenn Sie ein KI-System unter eigenem Namen oder eigener Marke in Verkehr bringen oder es wesentlich verändern. Wer also ein KI-Produkt unter eigenem Label anbietet, sollte das früh prüfen.
Transparenz: Chatbots und KI-Inhalte kennzeichnen (Art. 50)
- Chatbots: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren (Art. 50 Abs. 1). Ausnahme: Es ist für eine verständige Person ohnehin offensichtlich.
- Generierte Inhalte: KI-erzeugte oder manipulierte Audio-, Bild-, Video- oder Textinhalte müssen in einem maschinenlesbaren Format als künstlich gekennzeichnet werden (Art. 50 Abs. 2).
- Deepfakes: Wer mit KI Deepfakes erzeugt oder manipuliert, muss offenlegen, dass die Inhalte künstlich erzeugt oder verändert wurden (Art. 50 Abs. 4). Für Kunst, Satire oder Fiktion gelten angepasste Regeln.
- Die Information muss spätestens bei der ersten Interaktion klar, unterscheidbar und barrierefrei bereitstehen (Art. 50 Abs. 5).
Nicht jeder Hinweis muss aufdringlich sein
Art. 50 verlangt keine Warntafel um jeden Preis. Bei Chatbots entfällt der Hinweis, wenn die KI-Natur offensichtlich ist. Es geht um klare, faire Information, nicht um Abschreckung.
Der zweite Hebel: die DSGVO
Der AI Act ersetzt die DSGVO nicht, beide gelten parallel. Sobald Ihre KI personenbezogene Daten verarbeitet, kommt der Datenschutz ins Spiel. Drei Punkte sind in der Praxis am wichtigsten:
- Automatisierte Entscheidungen (Art. 22 DSGVO): Eine Person hat das Recht, nicht einer ausschließlich automatisierten Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung unterworfen zu werden. Das gilt grundsätzlich als Verbot, mit Ausnahmen (Vertrag, gesetzliche Erlaubnis, ausdrückliche Einwilligung) und Schutzmaßnahmen wie dem Recht auf menschliches Eingreifen. Praktisch heißt das: Bei folgenreichen Entscheidungen bleibt ein Mensch in der Schleife.
- Auftragsverarbeitung (Art. 28 DSGVO): Wenn ein externer Dienst (etwa ein LLM-Anbieter) personenbezogene Daten weisungsgebunden in Ihrem Auftrag verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag mit den gesetzlichen Mindestinhalten.
- Drittlandtransfer (Art. 44 ff. DSGVO): Gehen Daten in die USA, braucht es eine Rechtsgrundlage. Für nach dem EU-US Data Privacy Framework zertifizierte US-Anbieter besteht seit dem 10. Juli 2023 ein Angemessenheitsbeschluss; bei nicht zertifizierten Anbietern sind in der Regel EU-Standardvertragsklauseln plus ergänzende Maßnahmen nötig.
Das Data Privacy Framework ist nicht für die Ewigkeit garantiert
Eine Klage gegen den Angemessenheitsbeschluss (Rechtssache Latombe, T-553/23) wurde am 3. September 2025 abgewiesen, ein Rechtsmittel zum EuGH bleibt aber möglich. Wer kritische Daten verarbeitet, fährt mit EU-Hosting oder lokalen Modellen ruhiger.
Wie Sie diese DSGVO-Hausaufgaben praktisch umsetzen, von der Tarifwahl über den AVV bis zur KI-Richtlinie fürs Team, zeigt Schritt für Schritt der Leitfaden ChatGPT und Co. DSGVO-konform nutzen.
Praktische Schritte für KMU
- Verschaffen Sie sich einen Überblick, welche KI bei Ihnen tatsächlich im Einsatz ist, auch versteckt in bestehenden Tools.
- Sorgen Sie für KI-Kompetenz im Team. Das ist Pflicht und zahlt sich ohnehin aus.
- Kennzeichnen Sie Chatbots und KI-generierte Inhalte rechtzeitig vor dem 2. August 2026.
- Schließen Sie mit KI-Dienstleistern einen Auftragsverarbeitungsvertrag, wo personenbezogene Daten im Spiel sind.
- Setzen Sie bei sensiblen Daten auf EU-Hosting oder lokal betriebene Modelle.
- Halten Sie bei Entscheidungen mit Folgen einen Menschen in der Schleife.
Genau hier setze ich an: Ich integriere KI so, dass sie einen konkreten Nutzen bringt und dabei DSGVO- und EU-AI-Act-konform bleibt. Sprachmodelle wahlweise EU-gehostet oder lokal, Antworten aus Ihrer eigenen Wissensbasis statt erfundener Auskünfte, und Sie an den Entscheidungspunkten.
Quellen
- Verordnung (EU) 2024/1689 (EU AI Act), EUR-Lex
- EU AI Act, Geltungszeitpunkte (Art. 113, AI Act Service Desk)
- Rat der EU: Digital Omnibus, Einigung zur Vereinfachung der KI-Regeln (7. Mai 2026)
- Europäisches Parlament, EPRS-Briefing zum Digital Omnibus on AI (2026)
- EU AI Act Art. 4 (KI-Kompetenz)
- EU AI Act Art. 50 (Transparenzpflichten)
- EU AI Act Art. 26 (Pflichten der Betreiber)
- Art. 22 DSGVO (automatisierte Entscheidungen)
- Art. 28 DSGVO (Auftragsverarbeitung)
- EDPB: FAQ zum EU-US Data Privacy Framework (2026)
Dieser Beitrag ist eine sorgfältig recherchierte Orientierung, keine Rechts- oder Steuerberatung. Für verbindliche Auskünfte wenden Sie sich an Ihren Steuerberater oder Rechtsanwalt.
Häufige Fragen
Gilt der EU AI Act schon?+
Ja, aber gestaffelt. Seit dem 2. Februar 2025 gelten die Verbote und die KI-Kompetenzpflicht, seit dem 2. August 2025 die GPAI- und Governance-Regeln, ab dem 2. August 2026 die Transparenzpflichten nach Art. 50. Die Hochrisiko-Pflichten wurden durch den Digital Omnibus verschoben: auf den 2. Dezember 2027 für Anhang-III-Systeme und den 2. August 2028 für KI in regulierten Produkten.
Was ändert der Digital Omnibus am EU AI Act?+
Das im Juni 2026 beschlossene Paket verschiebt die Hochrisiko-Pflichten: Anhang III vom 2. August 2026 auf den 2. Dezember 2027, Anhang I vom 2. August 2027 auf den 2. August 2028. Verbote, KI-Kompetenzpflicht und die Transparenzpflichten nach Art. 50 bleiben auf dem ursprünglichen Zeitplan.
Muss mein Chatbot als KI gekennzeichnet werden?+
Grundsätzlich ja, nach Art. 50 ab dem 2. August 2026. Nutzer müssen wissen, dass sie mit einer KI sprechen. Eine Ausnahme gilt, wenn das für eine verständige Person ohnehin offensichtlich ist.
Darf ich ChatGPT oder ein anderes US-Modell DSGVO-konform nutzen?+
Möglich ist das, wenn die Datenschutz-Grundlagen stimmen: ein Auftragsverarbeitungsvertrag bei Verarbeitung personenbezogener Daten und ein gültiger Transfermechanismus (Data Privacy Framework bei zertifizierten Anbietern, sonst Standardvertragsklauseln). Bei sensiblen Daten ist EU-Hosting oder ein lokales Modell der sicherere Weg.
Bin ich Anbieter oder Betreiber?+
Die meisten KMU sind Betreiber, weil sie KI nur nutzen. Zum Anbieter mit mehr Pflichten werden Sie unter anderem, wenn Sie ein KI-System unter eigenem Namen oder eigener Marke in Verkehr bringen oder es wesentlich verändern (Art. 25).
Darf eine KI allein über Menschen entscheiden?+
Bei Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung gilt nach Art. 22 DSGVO grundsätzlich ein Verbot rein automatisierter Entscheidungen, mit engen Ausnahmen und Schutzmaßnahmen. In der Praxis bedeutet das: ein Mensch trifft oder bestätigt die folgenreiche Entscheidung.
KI einführen, ohne rechtliches Risiko
Ich finde mit Ihnen die Fälle, in denen KI wirklich Zeit spart, und setze sie DSGVO- und EU-AI-Act-konform um. EU-gehostet oder lokal, mit Ihnen an den Entscheidungspunkten. Aus Chemnitz für KMU in Sachsen und deutschlandweit.

Daniel Gläser
Inhaber Gläser IT-Solutions, Chemnitz
Ich entwickle Software und betreibe IT-Infrastruktur für kleine und mittlere Unternehmen, von der ersten Analyse bis zum laufenden Betrieb. Die Inhalte hier stammen aus realen Projekten und sind mit Quellen belegt.


